Ⅰ 网络安全法拟做出四部分修改,正向社会公开征求意见,哪些信息值得关注
网络安全法拟做出四部分修改,正向社会公开征求意见,信息值得关注:
Ⅱ 网络安全政策
法律分析:国家对网络安全行业越来越重视,未来人才培训和产业规模发展前景可观,如何规范,保障网络安全行业健康发展,国家出台了一系列相关法规政策:
2016年11月:《中华人民共和国网络安全法》,于2017年6月1日开始实施。主要强调了金融、能源、交通、电子政务等行业在网络安全等级保护制度的建设,是我国第一部网络空间管理方面的基础性法律。
2017年1月:《关于促进互联网健康有序发展的意见》,意见要求要加快完善市场准入制度,提升网络安全保障水平,维护用户合法权益、打击网络违法犯罪、增强网络管理能力,防范移动互联网安全风险。
2018年3月:《关于推动资本市场服务网络强国建设的指导意见》,意见重点强调要推动网信事业和资本市场协调发展,保障国家网络安全和金融安全,促进网信和证券监督工作联动。
2019年3月:《中央企业负责人经营业绩考核办法》,将网络安全纳入考核范围。
2019年10月:《中华人民共和国密码法》,将规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提出了国家对密码实行分类管理。
2019年5月24日:《网络安全审查办法(征求意见稿)》,由国家网信办发布。
2019年7月2日:《云计算服务安全评估办法》,由国家网信办、发改委、工信部及财政部。
法律依据:《中华人民共和国网络安全法》 第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
Ⅲ 政治题,网络安全法草案向社会公开征求意见体现了哪些观点
《网络安全法》草案向社会各界公开征求了意见,是中国依法治国的重要实践,体现了中国网络管理的依法、民主、透明。这些法律的出台不仅维护中国的国家利益,也将保护包括全世界在华企业的合法权益
Ⅳ 相对于中华人民共和国网络安全法中华人民共和国数据安全法在什么管辖上实现了
相对于中华人民共和国网络安全法中华人民共和国数据安全法在境外管辖上实现了突破
1、《数据安全法》对“数据”概念进行补充和延伸。
已生效的《网络安全法》并没有对“数据”进行定义,而采用“网络数据”(通过网络收集、存储、传输、处理和产生的各种电子数据)和“个人信息”(以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息)两个概念,两个概念事实上已涵盖了公民参与网络活动中使用各类电子数据和涉及个人信息的部分线下数据。
由于立法角度差异,《数据安全法》直接简明扼要地将“数据”定义为“任何以电子或非电子形式对信息的记录”,其保护范围较《网络安全法》大大扩展,这一改变将电子化记录与其他方式记录的信息统一纳入数据范畴,既符合数字化时代的信息安全要求,又适应了数字经济时代整体信息保护和整体信息安全的新要求。
2、《数据安全法》已具备一定“域外效力”,为反制国外相关法律的“长臂管辖”提供了法理依据。
与《网络安全法》“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法”相比,《数据安全法》更进一步,规定“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”当今,伴随着互联网的高速发展,数据的收集和存储早已突破了国界的限制,如欧盟的GDPR已极大扩展了其域外数据安全管辖权范围。GDPR更注重效果原则,只要在客观效果上构成对本国或本地区自然人个人数据的处理,就受GDPR管辖。《数据安全法》引入“域外效力”对保护我国国家主权和公民个人权利意义十分重大。
3、两部法律均提到了“重要数据”这一概念,但受限于实践中掌握尺度问题,均未明确界定其范围。
《网络安全法》对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。《数据安全法》第二十五条对重要数据的处理者应当设立数据安全负责人和管理机构也做出了规定。虽然两部法律均未对重要数据范围进行界定,但可通过相关其他法律及规则定义进行识别和借鉴,比如:2019年5月28日,国家互联网信息化办公室公布了《数据安全管理办法(征求意见稿)》。其对“重要数据”明确界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。
4、《数据安全法》确立了全新的“数据安全评估制度”,评估范围更广。
在《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》中,均规定了数据出境的安全评估制度,但上述制度仅限于数据或重要数据出境过程中的评估。如《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。而《数据安全法》所规定的数据安全评估,范围更广,针对重要数据处理者的全部数据活动。《数据安全法》第二十八条规定:“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等”。
从执法案例分析
纵观《网络安全法》2018年1年的执法案例,机关、事业单位、企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审核、网络产品和服务等五个方面。由于《数据安全法》尚未正式执行,我们也可以参考网络安全法执法重点和处罚措施,对于企业合规具有借鉴意义,对于网络安全从业者,有助于避开企业网络、信息安全雷区,完善企业自身网络安全防御体系。
1、《网络安全法》主要责任主体为网络运营者。
对于企业而言,根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合执法案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台(比如新浪微博、微信公众平台、网络、今日头条)的运营者;网络科技/技术公司;学校、学院及其他事业单位。
《数据安全法》的主要责任主体是重要数据的处理者。在“第四章 数据安全保护义务,第二十七条 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”有说明。
2、《网络安全法》主要执法机构:国家网信办,工信部,公安部。
尽管目前尚未有明确的规定或指引告知各个执法部门的主要执法范围,但根据2018网络执法案例来看,各部门大致执法点如下图所示。
《数据安全法》第一章 总则 第六条 规定了主管部门和行业监管,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担数据安全监管职责;公安机关、国家安全机关承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作,具体各部门的执法关注点要等一年后的执法案例分析。
Ⅳ 《网络数据安全管理条例》公开征求意见,其中的具体内容是什么
这次条例的具体内容都是对人们有利的,也是用来限制那些无良商家的,要不是有那些人的存在,我们的个人信息怎么可能泄漏。条例中提到任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事违法活动。处理个人信息应当取得个人同意,不得违规操作,滥用他人信息,如果因此对他人造成经济损失的,被害者有权利通过法律维护自己的权益。
我认为还能够能够保证群众的信息不会泄漏,不会被人乱用的同时,监督那些想要乱用信息的人和物。个人信息隐私权同样重要,如果发现自己的隐私或者是个人信息被侵犯,我们要学会合理利用自己的法律武器,来维护自己的权益
国家非常重视个人安全信息的保护,才会出现这个征求意见稿。对此我是非常支持的,这样的政策也是在保护我们自己的隐私,我相信大家都有不想让他人知道的事情,如果一个人连隐私都没有,那这个世界就真的太疯狂了,你们认为呢?
Ⅵ 制定《网络安全审查办法(修订草案征求意见稿)》的主要目的是什么
7月10日,大成律师事务所合伙人孙鹏程向时代周报记者表示,制定该《办法》最主要目的、最主要变化是将《数据安全法》的安全审查制度落地,将数据安全审查包含在网络安全审查中。
同日,资深投行人士王骥跃告诉时代周报记者,《办法》提出“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,其中“掌握超过100万用户个人信息”的限定基本上涵盖了所有具备上市融资能力和需求的互联网公司,影响深远。
王骥跃表示,“国外上市”不包括港股,因此部分互联网公司在选择上市地时,将优先考虑港股而非美股。
掌握超百万用户信息者需经审查:
7月10日,国家互联网信息办公室发布了《网络安全审查办法(修订草案征求意见稿)》(下称《办法》)。有关关键信息基础设施运营者和数据处理者(以下均称“运营者”)赴国外上市的条款引发关注。
《办法》指出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
以上内容参考 金融界-科技巨头国外上市管控收紧:掌握超百万用户信息者需经审查,港股市场或受益
Ⅶ 网络数据安全管理条例征求意见稿规定发生重要数据或者多少人以上个人信息泄露
《网络数据安全管理条例征求意见稿》规定发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
《网络数据安全管理条例征求意见稿》第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电
话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
Ⅷ 中华人民共和国网络安全法保存期限
1.《中华人民共和国网络安全法》
2017年6月1日起施行的《中华人民共和国网络安全法》第二十一条规定,“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。”依据此条款,包含个人信息的相关网络日志至少需要保存六个月。
2.《中华人民共和国电子商务法》
2019年1月1日起施行的《中华人民共和国电子商务法》第三十一条规定,“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”依据此条款,对于电子商务平台经营者来说,包含个人信息的交易信息保存期限应该不少于三年。
3.《征信业管理条例》
2013年3月15日起施行的《征信业管理条例》第十六条规定,“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。”依据此条款,对于个人不良信息保存期限超过5年的应予以删除。《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
该法由全国人民代表大会常务委员会于2016年11月7日表决通过,自2017年6月1日起施行2017年6月1日起《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分;从微观层面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)必须担负起履行网络安全的责任。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。
Ⅸ 《数据安全管理办法(征求意见稿)》发布 为个人数据安全加把锁
随便注册一个应用就要身份证号,推送来的广告好像会“读心”,大数据“杀熟”防不胜防,注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。
国家互联网信息办公室日前发布《数据安全管理办法(征求意见稿)》(以下简称《办法》),对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求,为个人数据安全加上了一把锁。
为啥出台《办法》?这与当前日趋严峻的个人信息滥用和泄露的状况显然息息相关。根据官方对百款常用手机应用统计数据显示,其中相当一部分手机应用存在强制超范围索要权限情况,平均每个应用申请收集个人信息相关权限数有10项,但实际上用户不同意开启则APP无法安装或运行的权限数平均仅为3项。
来自“电子商务消费纠纷调解平台”的大数据同样显示,近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台,以及大众点评、网络糯米、携程等生活服务平台,均曾出现过用户信息泄露事件。仅在2018年,就多次出现用户个人信息泄露事件,比如圆通、顺丰十几亿条个人信息在暗网被出售,12306数百万条旅客信息在网上被出售等。
数据保护“有章可循”
在《办法》中,数据活动被界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”。“与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比,未来有可能作为部门规章发布的《办法》效力层级更高,既是大数据时代数据安全的刚需体现,也在为5G市场铺平国内数据处理合规化道路。”上海汉盛律师事务所高级合伙人李旻说。
北京观韬中茂(上海)律师事务所合伙人王渝伟也认为,与《网络安全法》相比,此次征求意见稿更为详尽,也有望为未来个人信息保护方面的法律提供参考。
此次《办法》中的“亮点”提法,也让个人数据保护有章可循。一方面,《办法》强调了用户的选择权,如其中明确要求“制定并公开个人信息收集使用规则”,且强调“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读”,突出信息使用规则的重要性,以便个人信息主体享有充分选择权。此外还特别规定,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。也就是说,网络运营者不能在数据索取上“漫天要价”。
“这实际上就是为了避免网络服务提供者为了收集数据采取胁迫或者误导行为。”中国 社会 科学院信息化研究中心秘书长姜奇平表示,信息采集的主导权和选择权必须交给消费者,这是信息服务的原则性问题。
另一方面,《办法》也进一步强调了对用户隐私的保护,《办法》要求“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案”。根据《信息安全技术个人信息安全规范》,包括身份证信息、电话号码、邮箱地址、浏览记录、定位信息乃至个人指纹、声纹,这些都属于个人敏感信息。“通过国家强制力对隐私信息的收集使用予以限制,在隐私信息泄漏时亦有迹可循,以实现个人隐私信息的数据安全。”李旻说。
中国信息安全研究院副院长左晓栋表示,只有能对隐私信息的收集者追根溯源,才能从源头保护个人数据安全。
解决方法直面“痛点”
“《办法》对于近年来层出不穷的网络数据安全问题予以细化,针对新型数据安全管理的规定能及时填补因 社会 发展导致的法律漏洞,具有前瞻性。”李旻说。
从《办法》的具体规定来看,不少一直困扰用户的“痛点”被明确点名,比如刚订了一张机票,马上各个应用就开始推荐目的地相关信息,这种利用用户浏览 历史 ,通过定向推送获得广告收入的“精准广告”,让不少用户觉得毫无隐私。对此,《办法》明确规定,要求利用用户数据和算法推送新闻信息、商业广告需显着标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权,“用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息”。
“广告主采集用户的信息难度会增加,但这也是全球范围内的大趋势,各个主要国家的相关法规,也都在强调保护消费者的个人数据隐私。”网络广告平台Marteker创始人冯祺表示。
再比如,针对账号注销难,账号注销后个人信息消除难,《办法》也特别提出,要保护用户的“被遗忘权”。《办法》强调,“收集使用规则应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法”。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”
“突出‘被遗忘权’保护也是办法的一个亮点。‘被遗忘’是消费者的合理诉求。”左晓栋说。
在北京亿达(上海)律师事务所律师董毅智看来,“被遗忘权”仍需进一步细化,“比如,在用户注销账户后,网络经营者对于已经散发出去的信息如何处理?用户是否有权要求网络经营者对已经散发出去的信息予以删除或者负责?”
此外,包括“网络爬虫”访问收集流量不得超过网站日均流量的三分之一,限制“大数据杀熟”等歧视性推送行为,明确数据安全责任人的任职要求,要求提供数据安全责任人的姓名及联系方式等,《办法》中的相关规定,为个人数据保护中的一系列热点问题提供了解决方案。
“互联网行业头部企业的天然主导性,导致行业内部缺乏竞争,基于用户对平台服务的信任而建立起的黏性,不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲,《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”董毅智表示。